IT-SicherheitWir wollen Schutz der Grundrechte statt löchriger IT-Sicherheit

Nicht erst seit dem durch Edward Snowden bekannt gewordenen Überwachungs- und Abhörskandal westlicher Geheimdienste ist klar, dass digitale Infrastrukturen weitreichend kompromittiert sind. Beinahe täglich erfahren wir von gravierenden Sicherheitslücken in Software und von zahlreichen Hackerangriffen. Kurz: Die Hütte brennt, Konsequenzen sind überfällig.

Die Bundesregierung hat nun ein IT-Sicherheitsgesetz vorgelegt, dass nahezu von allen Seiten völlig zurecht als verfassungsrechtlich bedenklich, unausgegorenen, widersprüchlichen und teils kontraproduktiv kritisiert wird.

Das Gesetz beschränkt sich lediglich auf sogenannte kritische Infrastrukturen, große Bereiche der sensible Daten verarbeitenden Wirtschaft sind ausgeklammert. Staatliche Akteure sind sogar komplett raus. Wer die Betreiber kritischer Infrastruktur sind, ist im Gesetz nicht klar festgelegt und soll per Verordnung nachgereicht werden. Diese und andere unbestimmte Regelungen sind verfassungsrechtlich bedenklich und sorgen für Rechtsunsicherheit bei Unternehmen und Öffentlichkeit.

Kein Schutz für Bürgerinnen und Bürger

Der Gesetzentwurf bezieht sich nur auf eine überschaubare Anzahl von Unternehmen. Der Schutz der Allgemeinheit wird gänzlich ignoriert. Das verfassungsrechtliche Ziel und die Pflicht des Staates, die Bürgerinnen und Bürger vor Verletzungen der Freiheitsrechte durch ausländische Geheimdienste zu schützen und deshalb deren Vorgehen zu unterbinden, scheint die Bundesregierung nicht angehen zu wollen. Das ist unglaublich. Denn das Recht auf Integrität und Vertraulichkeit informationstechnischer Systeme und das Recht auf informationelle Selbstbestimmung sind als Grundrechte im Grundgesetz verankert und trotzdem lässt die Bundesregierung sie leer laufen.

Statt eines Nutzerschutzes, sollen Betreiber kritischer Infrastrukturen lediglich selbst definierte Mindeststandards einhalten und Angriffe teils anonym den Behörden melden. Was genau zu melden ist und was mit den Meldungen passiert, bleibt unklar. Statt einer branchenspezifischen Risikoanalyse, sollen hier ohne unabhängige Expertise Mindeststandards definiert werden, die erstens dazu führen, dass Unternehmen keinerlei Anreize haben, Angriffe zu melden – zumal keine Sanktionen vorgesehen sind – und die zweitens die Unternehmen nicht wirklich schützen, sondern die Hürden aufzeigen, die Angreifer überspringen müssen. Den Unternehmen ist damit kein Gefallen getan.

Erst katastrophale Bilanz, dann nationale Insellösung

Eine Harmonisierung mit der auf EU-Ebene parallel in Verhandlung befindlichen NIS-Richtlinie findet nicht statt. Hinzu kommt, dass das Bundesamt für Sicherheit in informationstechnischen Systemen (BSI) über keine Legitimationsnorm für internationale Bezüge verfügt. Damit geht der schmalspurige Gesetzesentwurf an der digitalen Realität vorbei und fügt sich in das Gesamtbild, das die Bundesregierung in diesem Bereich abgibt.

In den letzten Jahren wurde kein einziger ernst zu nehmender Vorschlag zur Verbesserung des Datenschutzes, der Datensicherheit und der IT-Sicherheit vorgelegt, aber alle Vorschläge der Bundestagsfraktion Bündnis 90 / Die Grünen verworfen. Gleichzeitig werden Reformbemühungen auf EU-Ebene trotz anderslautender Versprechen sabotiert, die Aufklärung im Parlamentarischen Untersuchungsausschuss zum Abhör- und Ausspähskandal weiter behindert, die Vorratsdatenspeicherung wieder belebt und es wird laut über den staatlichen Aufkauf von Sicherheitslücken auf dem Schwarzmarkt nachgedacht.

Das gesellschaftliche Vertrauen und das Vertrauen der Wirtschaft in die Integrität der digitalen Infrastruktur ist essentiell für die digitale Zukunft. Daher werden wir das IT-Sicherheitsgesetz parlamentarisch kritisch begleiten und uns mit einem eigenen Antrag dafür stark machen, dass die Grundrechte geschützt werden, dass die Unternehmen proaktiv unterstützt werden, ihre IT-Sicherheit zu erhöhen und dass das BSI sich unabhängig von staatlichen Überwachungsinteressen dem Schutz der Bürgerinnen und Bürger widmet.

Mehr zum Thema Netzpolitik

Dieser Artikel ist älter als zwei Monate, deshalb werden keine Kommentare mehr angenommen.

4394904